微軟證實IIS安全漏洞 - Windows

資訊整理：http://www.ithome.com.tw/itadm/article.php?c=58888

安全研究人員Soroush Dalili發現要上傳一個JPG檔案時，可以利用分號夾帶一個可執行
的ASP檔案；透過該漏洞，駭客就能上傳一個危險的可執行檔。

安全研究人員Soroush Dalili於上周揭露了微軟網路資訊服務（Internet Information
Services，IIS）中的漏洞，指出駭客可以在上傳檔案時夾帶惡意程式。微軟已證實該漏
洞，但表示只有在使用者更改預設且採用不安全的配置時才會讓駭客有機可乘。

Dalili表示，他發現要上傳一個JPG檔案時，可以利用分號夾帶一個可執行的ASP檔案，例
如malicious.asp;.jpg，由於許多檔案上傳機制保護系統的方法是檢查檔案最後的副檔名
，透過該漏洞，駭客就能上傳一個危險的可執行檔。

根據資安業者Secunia的說明，該漏洞肇因於網路伺服器錯誤執行檔案中用分號所區分的
不同副檔名中的ASP程式。Secunia表示，目前確定該漏洞影響Windows Server 2003 R2
SP2中所執行的IIS 6.0，其他版本也可能受到影響。

微軟安全專案經理Jerry Bryant指出，微軟正在調查此一事件，尚未接獲相關攻擊報導。
此外，初步評估認為惟有在使用者更改IIS網路伺服器預設及採用不安全的配置時才會導
致該漏洞；因為駭客須經身份認證並具執行權限以寫入目錄，而這並不符合微軟為伺服器
配置安全而提出的最佳實作準則，舉凡使用預設配置及遵循最佳作法的，皆可降低類似此
一事件的風險。

Bryant表示，該漏洞並未根據責任揭露原則，在還沒通知微軟便公布，可能置客戶於險境
。Bryant也強調微軟將採取合適的保護措施，包括透過例行性更新修補該漏洞，或提供額
外的修補程式及準則。

--
寂寞部屋之意慾蔓延

http://www.wretch.cc/blog/cyc1119

--